ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Verschillende enterprise proxyfabrikanten bieden opties aan om ook SSL/TLS-verkeer te kunnen filteren door gebruik te maken van een eigen rootcertificaat, waarmee ze Man-in-the-Middle spelen. De gebruiker ziet als deze bijvoorbeeld naar zijn bank gaat een certificaat met de gegevens van de bank, maar uitgegeven door de proxyserver. Mag dat?
Antwoord: Het is technisch mogelijk voor een bedrijf om een geavanceerde firewall te installeren die ook SSL-beveiligd verkeer kan onderscheppen. De firewall doet zich naar bedrijfscomputers voor als bijvoorbeeld Gmail of Facebook (inclusief certificaat dat de bedrijfscomputer als veilig accepteert), en naar Gmail toe als de computer van de eindgebruiker.
Al het netwerkverkeer naar Gmail of Facebook komt nu op de firewall binnen en kan daar onversleuteld worden bekeken voordat het wordt doorgestuurd – of wordt weggegooid omdat het niet aan het bedrijfsbeleid voldoet. Ook kan er precies worden gelogd welke gebruiker hoe lang op welke dienst zit, welke bijlagen hij verzond via Gmail, of hij de bedrijfsnaam noemde in een statusupdate of Facebookchatbericht, en ga zo maar door.
Technisch gezien gaat het dan om vervalste certificaten, maar op zich is het in een bedrijfscontext niet strafbaar om zo'n certificaat te vervalsen zolang maar duidelijk is waarom je dit doet en er een legitieme reden is.
Een bedrijf heeft veel vrijheden in hoe zij het werk laat uitvoeren en welke middelen ze daarvoor inzet. Wanneer het gaat om privacygerelateerde zaken, is de belangrijkste eis dat je als bedrijf in je reglement (internetprotocol) duidelijk hebt aangegeven dat je dit doet en voor welke redenen.
Plus, je mag natuurlijk niet verder gaan dan nodig is voor die redenen. Ben je bang dat er bedrijfsgeheimen lekken, dan is een dagelijks rapportje over wie hoe lang FarmVille speelt natuurlijk nergens voor nodig. Mails waarin het omzetcijfer van het eerste kwartaal genoemd wordt, zouden daarentegen gerede vragen mogen oproepen bij het management.
Wel zou ik vooraf een duidelijke belangenafweging willen zien. Is het nu écht nodig om iedereen digitaal te fouilleren bij elk bezoekje aan een socialemediasite? Doe je dat aan de poort ook, als mensen naar huis gaan?
Het lijkt me dat je alleen digitaal mag fouilleren onder dezelfde omstandigheden dat je dat ook aan de poort zou doen. De diamantslijper of de accountant die je jaarcijfers aan het opmaken is, mag verwachten dat zijn tas (en jaszak) extra goed gecontroleerd wordt, net als de researchmedewerker die aan een nieuw prototype werkt. Maar de receptioniste fouilleren lijkt me héél moeilijk uit te leggen. Digitaal én bij de poort.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.